Kleine Geräte, grosses Risiko
IoT-Cybersecurity
Das Internet der Dinge bringt spannende Entwicklungen – und Nachholbedarf bei der Cybersecurity. Auch weil es nun technisch möglich ist, über Grenzen hinweg zu handeln, ohne sie physisch überschreiten zu müssen.
Kaum bemerkt von der Öffentlichkeit hat sich die geopolitische Lage der Cybersecurity beim Internet of Things, IoT, in den letzten Monaten gravierend verschärft. Lange galt die stillschweigende Annahme, dass international vor offenen Cyberangriffen auf Infrastrukturen durch staatliche Akteure und als Mittel zur Verfolgung strategischer und militärischer Ziele weitestgehend zurückgeschreckt wird.
Diese Annahme wird mit einem Blick auf den Hintergrund insbesondere des Zusammenspiels von internationalem Kriegsrecht, militärischer Strategie und Cybersecurity besser verständlich. Das Aufkommen von Computern und deren integrale Vernetzung in die Gesellschaft haben es technisch möglich gemacht, über Grenzen hinweg zu handeln, ohne sie physisch überschreiten zu müssen. Technische Mittel ermöglichen es auch, geografische Spuren von Computeraktivitäten zu verschleiern oder gar falsche Spuren zu legen. Damit ist die sichere Zuordnung von Akteuren schwierig bis unmöglich. Dies ist in der klassischen Kriegsführung, dem kinetischen Krieg, anders: Ein Panzer, der eine Landesgrenze überschreitet, ist klar als solcher erkennbar, und ebenso ist die Überschreitung einer Grenze als solche genau definiert. In der Regel ist es auch rasch erkennbar, wem dieser Panzer gehört und an wen allfällige Gegenmassnahmen zu richten sind. Im Cyberraum ist diese Zuordnung schwierig.
Als Kernfrage galt lange, ob Cyberaktivitäten physische Schäden bis hin zu Fatalitäten hervorrufen können. Das Überschreiten dieser Schwelle aktiviert, vereinfacht gesagt, im internationalen Kriegsrecht die Möglichkeit zur Verteidigung und den Bündnisfall nach Artikel 5 der Nato.
Ein globales Phänomen
Fehlfunktionen von computergestützten Sensor- und Aktorkomponenten können massive bis fatale Konsequenzen haben. Dies betrifft IoT-Systeme ebenso wie Betriebstechnik, die sogenannte operational technology (OT), die durch nachgerüstete Kommunikationsvernetzung eher ungeplant Teil der IoT-Landschaft wurde. Global demonstrieren gerade in den letzten Jahren Angriffe auf Wasserversorgungen, Krankenhäuser, Pipelines, Industrieanlagen, Kameras und andere Systeme das Schadenspotenzial, das vom Verlust persönlicher und sensitiver Daten bis hin zu ökonomischen Schäden und Fatalitäten reicht.
2010 stellte ein gezielt auf spezifische OT-Systeme entwickelter Computerwurm einen ersten Wendepunkt dar. Mit grossem Aufwand eingeschleust, führte die Schadsoftware Stuxnet in iranischen Nuklearanreicherungsanlagen zu fehlerhaften Betriebsanzeigen in Überwachungssystemen, einer Übersteuerung von Prozessgeschwindigkeiten und schliesslich zur Zerstörung der Zentrifugen.
Im Jahr 2022 hat die Nato Cyberaktivitäten als möglichen Grund zum Aktivieren eines Verteidigungsfalles nach Artikel 5 genannt und konstatiert, dass auch Aktivitäten unterhalb der klassischen kinetischen Schwelle in ihrer Summe als Auslöser gelten können [1]. Dabei werden die oben genannten typischen Grauzonen wie etwa die jeweilige Zuordnung von Akteuren als solche behandelt und von Fall zu Fall beleuchtet. Trotzdem bleibt der Umgang mit Cyberaktivitäten im internationalen Raum eine Herausforderung.
Tatsächlich steht der aktuelle Stand der IoT-Cybersecurity in starkem Kontrast zu dieser Ausgangslage. Mit frei verfügbaren hochentwickelten Scan-Tools, zunehmend unterstützt durch künstliche Intelligenz, werden unsichere Geräte und Schwachstellen identifiziert. Ungeschützte Systeme sind ideale Eintrittspforten in nachgelagerte Zielsysteme wie IT-Infrastrukturen oder Sensorik und Aktorik und ermöglichen Ransomware-Erpressungen, Datenabflüsse, Kryptomining, DDOS-Attacken oder Sabotage.
Gleichzeitig sind unsichere oder gar fehlende Passwörter und offene Ports die Haupteintrittspforten in IoT-Systeme, und ein beachtlicher Teil der eingesetzten IoT-Schadsoftware basiert auf lange bekannter Malware wie Mirai [2].
Auch die Hauptangriffsziele sind seit Jahren unverändert Internet-Router und Kameras. Dennoch werden diese Objekte immer noch weitgehend oder komplett ohne verstärkte Sicherheitsmassnahmen und -instruktionen ausgeliefert. Die jüngste Meldung des Unternehmens Dreamlab, das über 100’000 ungesicherte Schweizer Router identifizierte, ist nur ein Beispiel [3].
Diesen paradoxen Umgang mit dem IoT zeigte ebenso eine Umfrage des Rogers Cybersecure Catalyst Fellowship Program der Toronto Metropolitan University. Hier waren sich Computer-Sicherheitsexperten mit gewöhnlichen Nutzern einig: Ja, das IoT ist unsicher und wird es vermutlich bleiben, trotzdem wird es, auch persönlich, in den sensibelsten Bereichen eingesetzt [4].
Der unterentwickelte Zustand der IoT-Cybersecurity steht in starkem Kontrast zum Entwicklungsstand des IoT. Zu Generationen von Routern, Druckern und Kameras gesellen sich Smart-Home-Geräte genauso wie Schwärme von RoboBees, also künstlicher Bienen (Einstiegsbild). Der Einsatz der Künstlichen Intelligenz auf IoT-Geräten und die Eignung von Verschlüsselungsmethoden für das beginnende Zeitalter des Quantumcomputings sind bereits jetzt Kriterien in Beschaffungsprozessen.
Der widersprüchliche Stand der IoT-Cybersecurity
Der Siegeszug digitaler Technologien in allen Ebenen der Gesellschaft hat zuvor bestehende klare Einteilungen verschoben. Dies ist nur wenigen Anwendern bewusst. Für Cyber-Angreifer aller Art ist dies praktisch: Mit der weiten und unregulierten Verbreitung von IoT-Geräten steht eine riesige Angriffsfläche bereit, die weitestgehend von ahnungslosen Nutzern betrieben wird. Nutzer, die den Schutz ihrer Geräte verbessern oder gar nur beurteilen wollen, stehen vor einer schwierigen Aufgabe. Oft kennen nicht einmal die Anbieter alle relevanten Informationen, wie etwa Datenflüsse oder Fernzugriffe, im Detail. Zudem erschweren fehlende Standards eine Bewertung: Wie sicher ist ein Produkt nun im Vergleich? Ist es sicher genug? Wie genau ist sicher definiert und braucht es die gleiche Definition für verschiedene Zwecke?
Für IoT-Hersteller ist eine höhere Sicherheit ein Dilemma. Solange sie für Kunden mangels spezifischer Standards weder prüf- noch vergleichbar ist, resultiert bei womöglich höheren Kosten allenfalls nur ein komplizierter zu bedienendes Produkt. Aus Wettbewerbssicht werden Anbieter ohne verbindliche und einheitliche Regulierung kaum motiviert, Geräte sicherer zu machen.
Die Gesetzesgebung greift die Thematik zunehmend auf. Verschiedene Gesetze, Standards und Richtlinien sind inzwischen in Kraft getreten oder in der Vernehmlassung. Eines der weitreichendsten Gesetze ist der in diesem Jahr erwartete Cyber Resilience Act der EU, der klassische IT- ebenso wie IoT- und OT-Geräte abdeckt. Mit einer Übergangszeit von drei Jahren wird dieses Gesetz die IoT-Produktlandschaft beträchtlich verändern und Hersteller wie Anbieter in die Pflicht nehmen. In der Schweiz stehen allgemein mit dem neuen Informationssicherheitsgesetz (ISG) zunächst Einrichtungen des Bundes und kritische Infrastrukturen im Fokus. Implikationen von Anforderungen des Datenschutzes an IoT-Systeme, wie in der Schweiz beim total revidierten Datenschutzgesetz (DSG), das ohne Übergangsfrist seit 2023 gilt, werden dabei oft übersehen. Gerade IoT-Geräte mit ihrem häufig globalisierten Datenfluss, geringem Sicherheitsniveau und ihrer oft niedrigen Sichtbarkeit im Netzwerk benötigen hier besondere Aufmerksamkeit. Nicht immer ist die eingesetzte Technologie allen Beteiligten in vollem Umfang bewusst.
Unterschiedliche Definitionen erschweren die Standardisierung
Weltweit unterscheiden sich die gesetzlichen Lösungsansätze deutlich. Allein die Definition regulierter Geräte reicht von hochgradig detaillierten Komponentenbeschreibungen in eng umrissenen Anwendungsfällen bis zu technologieunabhängigen Anforderungen an Handlungen rund um Informationen. So wäre nach beiden Definitionen im nebenstehenden Bild ein Smart Meter ein IoT-Gerät. Ein Laptop würde unter die allgemeine Definition fallen, ein Smartphone unter beide – einige IoT-Cybersecurity-Richtlinien schliessen diese Geräte jedoch explizit aus, obwohl mindestens Smartphones dank Sensorik und Betriebssystem sowohl klassische IT- als auch IoT-Geräte sind.
Während der detaillierte Ansatz den Vorteil der Überprüfbarkeit bietet, beschränkt er zugleich die Reichweite der Sicherheitsstandards und ist kaum wirksam. Im anderen Ansatz erschwert die fehlende Schärfe die Überprüfbarkeit, aber auch die Anleitung zur Umsetzung. Betreiber stehen vor Unklarheiten und dem Risiko, es allenfalls darauf ankommen lassen zu müssen. Im Falle eines Schadens ist dann die Frage, wie sich ein nicht definiertes oder technisch nicht realisierbares Sicherheitsniveau bewerten lässt – reicht es, dass alle gleich unsicher sind? Müssen unsichere Systeme aus dem Betrieb genommen werden, und falls ja, nach welchen Kriterien? Hier zeigt sich die Herausforderung, die Realitäten aus Legislative, Forschung und Praxis rechtzeitig miteinander in einen Dialog zu bringen.
Insgesamt entwickelt sich die IoT-Cybersecurity zunehmend als Wirtschafts-, Wettbewerbs- und Standortfaktor. Für Unternehmer werden Haftungsfragen, aber auch die Erhaltung der Wettbewerbsfähigkeit und die betriebliche Zuverlässigkeit des Standortes angesichts steigender Cyberangriffe relevant. Für Hersteller von IoT-Produkten zeichnet sich ab, dass international vermehrt Sicherheit eingefordert wird.
Aktuell gilt als Richtannahme, dass ein IoT-System vermutlich unsicher und ebenso wahrscheinlich bereits oder bald gehackt ist. Obwohl die Herausforderungen IoT-spezifischer Cybersecurity noch beträchtlich sind, zeigen die jüngsten Entwicklungen, dass die IoT-Sicherheit langsam erwachsen wird. Entsprechend heisst es, Sicherheitshausaufgaben zügig umzusetzen, die aktuell hochdynamischen Entwicklungen aufmerksam zu verfolgen, und auch für den Fall eines Ausfalls von IoT-Geräten vorbereitet zu sein. Frei nach dem bekannten Rat: Klüger dran, Notfallplan.
Referenzen
[1] Sarah Wiedemar, Center for Security Studies (CSS), ETH Zürich, Nato and Article 5 in Cyberspace, CSS Analyses in Security Policy, May 2023.
[2] M. Freunek, A. Rombos, «Classification of cyber attacks on IoT and ubiquitous computing devices», arXiv, Dezember 2023.
[3] Dreamlab, «Swiss Cyberspace: 100’000 Unprotected Routers Exposed Online». 16. Februar 2024.
[4] M. Freunek, «The Internet of Things exposes us all to the biggest cyber threats», Toronto Star, 20. März 2023.
Kommentare